Consenso ai cookie: cos’è, come funziona e come raccoglierlo correttamente

Il consenso ai cookie è uno degli adempimenti più concreti del GDPR: quel banner che appare al primo accesso a un sito web non è una scelta stilistica, ma un obbligo di legge. Eppure, ancora oggi, molti siti italiani lo gestiscono in modo non corretto: con banner fuorvianti, pulsanti asimmetrici o pratiche come lo scrolling, che il Garante per la protezione dei dati personali ha esplicitamente vietato già nel 2021.

In questa guida trovi tutto quello che c’è da sapere sul consenso ai cookie in Italia: cosa lo rende valido secondo il GDPR e le linee guida del Garante, come raccoglierlo e documentarlo, e come automatizzare l’intero processo con una piattaforma per la gestione del consenso (CMP).

Cos’è il consenso cookie e perché è obbligatorio?

I cookie sono piccoli file di testo salvati sul dispositivo dell’utente durante la navigazione. Alcuni sono indispensabili per il funzionamento dei siti web (cookie tecnici), altri raccolgono informazioni sulle abitudini di navigazione per finalità di profilazione, marketing o analisi statistica.

Per questi ultimi, ovvero i cookie non tecnici, la legge richiede il consenso esplicito dell’utente prima che vengano attivati. Questo obbligo deriva da due fonti normative che operano in modo combinato:

• Il GDPR (Regolamento UE 2016/679), che definisce le caratteristiche che il consenso deve avere per essere valido;
• La Direttiva ePrivacy, recepita in Italia all’art. 122 del Codice Privacy, stabilisce l’obbligo di raccogliere il consenso per i cookie non tecnici.

Senza un consenso valido, il trattamento dei dati dell’utente attraverso cookie di profilazione o di terze parti è illegittimo. Le sanzioni previste dal GDPR possono arrivare fino a 20 milioni di euro o 4% del fatturato annuo globale e il Garante italiano ha già avviato diversi procedimenti sanzionatori nei confronti di siti web che non agivano in conformità alle normative.

Cosa rende valido il consenso secondo il GDPR e il Garante?

L’articolo 7 del GDPR definisce le condizioni di validità del consenso. Perché sia giuridicamente efficace, il consenso deve essere:

Le Linee guida del Garante Privacy del 10 giugno 2021 hanno ulteriormente precisato questi requisiti nel contesto dei cookie, chiarendo aspetti spesso oggetto di interpretazioni errate.

Consenso implicito vs. esplicito: cosa dice la legge

Una delle questioni più dibattute riguarda il cosiddetto consenso implicito: l’idea, diffusa per anni, che il semplice proseguimento della navigazione o lo scrolling, ovvero lo scorrimento della pagina, potesse valere come accettazione.

Il Garante ha chiuso definitivamente questo dibattito con le linee guida del 2021: lo scrolling e la continuazione della navigazione non costituiscono una valida manifestazione del consenso ai sensi del GDPR. Questo perché si tratta di comportamenti privi di un’azione attiva e consapevole da parte dell’utente.

Ciò che la legge richiede è:

• Un pulsante “Accetta” chiaramente visibile;
• Un pulsante “Rifiuta” (o una “X” con funzione di rifiuto) ugualmente accessibile e visibile, senza che l’utente debba scorrere menu o compiere passaggi aggiuntivi;
• Caselle di selezione non pre-spuntate per le singole categorie di cookie.

Il banner deve essere progettato in modo che fornire il consenso e negarlo richieda lo stesso numero di clic. Pattern ingannevoli, come ad esempio un pulsante “Accetta” colorato e in primo piano, e uno “Rifiuta” accessibile tramite un link collocato in una posizione poco visibile, non sono conformi alle normative.

Come raccogliere e documentare il consenso ai cookie

Raccogliere un consenso valido non significa solo mostrare un banner. Il processo corretto prevede più elementi:

Struttura del banner: il banner di primo livello deve contenere un’informativa sintetica e i pulsanti per le azioni principali (accetta / rifiuta / gestisci preferenze). Se l’utente vuole personalizzare le proprie scelte, deve poter accedere a un secondo livello con le singole categorie:

• Cookie necessari (tecnici, sempre attivi, non richiedono consenso);
• Cookie di preferenza (ad es. salvataggio lingua o valuta);
• Cookie statistici/analitici (es. Google Analytics);
• Cookie di marketing (es. pixel Meta, Google Ads, tracciamento comportamentale).

Il GDPR impone inoltre al titolare del trattamento di essere in grado di dimostrare che il consenso è stato ottenuto validamente (principio di accountability). Questo significa dover conservare prove circa:

• quando l’utente ha prestato o negato il consenso;
• quale versione del banner era attiva in quel momento;
• quali categorie sono state accettate e quali rifiutate.

Su larga scala, gestire manualmente questi dati è praticamente impossibile. Per questo motivo, utilizzare una CMP che genera automaticamente un audit trail completo per ciascun utente è di fondamentale importanza.

Come revocare il consenso: obblighi dei siti web

Il GDPR è esplicito: revocare il consenso deve essere altrettanto facile quanto prestarlo. Questo principio si traduce in obblighi pratici per i gestori di siti web:

• Deve essere sempre disponibile un link o widget che consenta all’utente di modificare o revocare le proprie preferenze in qualsiasi momento, senza doversi registrare o contattare il gestore del sito web;
• La revoca deve avere effetto immediato: i cookie non più autorizzati devono essere resi inattivi non appena l’utente aggiorna le sue scelte;
• Il consenso non può avere durata illimitata. Il Garante italiano indica in 12 mesi il periodo massimo di validità del consenso, dopo il quale il banner deve essere riproposto.

Usercentrics: gestione automatizzata del consenso ai cookie

Implementare e mantenere un sistema di raccolta del consenso conforme alle normative è un processo complesso, che coinvolge aspetti tecnici, legali e di UX. Usercentrics CMP automatizza l’intero ciclo di vita del consenso, riducendo il rischio di non conformità e alleggerendo il carico operativo.

Ecco di cosa si occupa Usercentrics CMP: